SóProvas

ID
271093
Banca
CESPE / CEBRASPE
Órgão
PREVIC
Ano
2011
Provas
Disciplina
Segurança da Informação
Assuntos

De acordo com as normas NBR/ISO/IEC 27002/2005 e
NBR/ISO/IEC 27001/2006 e com o modelo PDCA (plan, do,
check, act), adotado por esta última para estruturar os processos do
sistema de gestão da segurança da informação (SGSI), julgue os
itens a seguir.

A organização deve fazer análises críticas com o objetivo de identificar tentativas e violações de segurança bem-sucedidas, sendo esta uma atividade verificada na fase check (checar).

Alternativas
Comentários
  • A fase de Check (checar) consiste em: monitorar, analisar criticamente, realizar auditorias e medir desempenho dos processos. Como a questão cita analises criticas facilita a sua resolução
  • Para completar o comentário do nosso amigo:

    Check (checar) (monitorar e analisar criticamente o SGSI) : Avaliar e, quando aplicável, medir o desempenho de um processo frente  à política,  objetivos e experiência prática do SGSI e apresentar os resultados para a análise crítica pela direção.  
  • A norma ISO/IEC 27.001 estabelece que, in verbis:

    7 Análise crítica do SGSI pela direção
     
    7.1 Geral
     
    A direção deve analisar criticamente o SGSI da organização a intervalos planejados (pelo menos uma vez por ano) para assegurar a sua contínua pertinência, adequação e eficácia. Esta análise crítica deve incluir a avaliação de oportunidades para melhoria e a necessidade de mudanças do SGSI, incluindo a política de segurança da informação e objetivos de segurança da informação. Os resultados dessas análises críticas devem ser claramente documentados e os registros devem ser mantidos (ver 4.3.3).
     
    7.2 Entradas para a análise crítica
     
    As entradas para a análise crítica pela direção devem incluir:
    (...)
    e) vulnerabilidades ou ameaças não contempladas adequadamente nas análises/avaliações de risco anteriores;

    Note-se que a norma é taxativa ao afirmar que as vulnerabilidades ou ameaças não contemplateas adequadamente devem servir de entradas para a análise crítica da organização.

    Por outro lado, o trecho destacado - "Esta análise crítica deve incluir a avaliação de oportunidades para melhoria e a necessidade de mudanças do SGSI" - que esta faze envolve identificar, claramente, oportunidades de melhorias. Assim, está de fato relacionado à fase Check do ciclo PDCA (Plan, Do, Check, Act).

    Razões pelas quais trata-se de um item certo.
  • Questão Correta.
    Item 4.2.3 - Monitoramento e análise criticamente o SGSI da norma ISO 27001:2006.
    "Executar procedimentos de monitoramento e análise críticas e outros controles para prontamente identificar tentativas de violações bem-sucedidas, e incidentes de segurança da informação."